ISO 27001 A.8.24 Brug af kryptografi-tjekliste
Kontrol A.8.24 Brug af kryptografi inden for ISO/IEC 27001:2022 er afgørende for at beskytte følsomme oplysninger gennem robuste kryptografiske teknikker. Denne kontrol sikrer, at datafortrolighed, integritet og ægthed bibeholdes under lagring og transmission.
Korrekt implementering af kryptografi hjælper med at beskytte information mod uautoriseret adgang og manipulation og opfylder derved lovmæssige, regulatoriske og kontraktmæssige krav. Implementering af kryptografi effektivt kan imidlertid give flere udfordringer, som skal løses omfattende.
Formål med bilag A.8.24
- Beskyt information: Beskyt følsomme oplysninger mod uautoriseret adgang og manipulation under opbevaring og transmission.
- Overholdelse: Sikre overholdelse af relevante juridiske, regulatoriske og kontraktmæssige krav vedrørende brugen af kryptografi.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Hvorfor skal du overholde bilag A.8.24? Nøgleaspekter og fælles udfordringer
1. Kryptering
Data i hvile
Brug kryptering til at beskytte data, der er gemt på enheder, servere og lagermedier.
- Integrationsproblemer: Vanskeligheder ved at integrere krypteringsværktøjer med eksisterende systemer og applikationer.
- Ydeevnepåvirkning: Potentiel ydeevneforringelse på grund af krypteringsprocesser.
- Solutions:
- Evaluer og vælg krypteringsværktøjer, der tilbyder kompatibilitet og minimal ydeevne.
- Udfør grundige test før fuld implementering.
- Tilknyttede ISO 27001-klausuler: 6.1.2 Risikovurdering, 8.2 Informationssikkerhedsrisikovurdering, 8.3 Informationssikkerhedsrisikobehandling
Fælles udfordringer:
Data i transit
Implementer krypteringsprotokoller (f.eks. TLS, VPN'er) for at sikre data, der transmitteres over netværk.
- Protokolkompatibilitet: Sikring af kompatibilitet af krypteringsprotokoller på tværs af forskellige systemer og netværk.
- Nøgleudvekslingssikkerhed: Sikring af nøgleudvekslingsprocessen for at forhindre aflytning.
- Solutions:
- Brug standardiserede protokoller og opdater dem regelmæssigt for at afhjælpe kompatibilitetsproblemer.
- Implementer robuste nøgleudvekslingsmekanismer såsom Diffie-Hellman nøgleudveksling.
- Tilknyttede ISO 27001-klausuler: 6.1.2 Risikovurdering, 8.2 Informationssikkerhedsrisikovurdering, 8.3 Informationssikkerhedsrisikobehandling
Fælles udfordringer:
2. Nøglestyring
Nøglegenerering
Sørg for, at kryptografiske nøgler genereres sikkert og er af tilstrækkelig styrke til at beskytte dataene.
- Tilfældighedskvalitet: Sikring af tilfældighed af høj kvalitet i nøglegenerering for at forhindre forudsigelighed.
- Ressourceintensitet: Høje beregningsressourcer, der kræves for at generere stærke nøgler.
- Solutions:
- Brug certificerede hardware-tilfældige talgeneratorer (HRNG'er).
- Sørg for, at systemerne er optimeret til nøglegenereringsopgaver.
- Tilknyttede ISO 27001-klausuler: 7.2 Kompetence, 8.3 Informationssikkerhedsrisikobehandling
Fælles udfordringer:
Nøgleopbevaring
Opbevar nøgler sikkert for at forhindre uautoriseret adgang. Dette kan involvere brug af hardwaresikkerhedsmoduler (HSM'er) eller krypteret nøglelagring.
- Sikker lagring: Finde og administrere sikre lagringsløsninger, der overholder standarder.
- Adgangskontrol: Implementering af streng adgangskontrol for at forhindre uautoriseret nøgleadgang.
- Solutions:
- Implementer HSM'er til nøglelagring.
- Implementer multi-factor authentication (MFA) til nøgleadgangskontrol.
- Tilknyttede ISO 27001-klausuler: 9.1 Overvågning, måling, analyse og evaluering, 7.5 Dokumenteret information
Fælles udfordringer:
Nøglebrug
Definer og håndhæv politikker for, hvordan kryptografiske nøgler skal bruges i organisationen.
- Håndhævelse af politik: Sikring af ensartet håndhævelse af nøglebrugspolitikker på tværs af alle afdelinger.
- Bevidsthed og træning: Uddannelse af personalet i vigtigheden og korrekt håndtering af kryptografiske nøgler.
- Solutions:
- Opdater og kommuniker regelmæssigt vigtige brugspolitikker.
- Tilbyde obligatoriske træningssessioner for alle relevante medarbejdere.
- Tilknyttede ISO 27001-klausuler: 7.2 Kompetence, 7.3 Bevidsthed, 7.5 Dokumenteret information
Fælles udfordringer:
Nøgle rotation
Implementer nøglerotationspolitikker for regelmæssigt at ændre nøgler og reducere risikoen for kompromis.
- Driftsforstyrrelse: Minimerer forstyrrelser i driften under nøglerotationer.
- Automatisering af rotation: Udvikling af automatiserede processer til problemfri nøglerotation.
- Solutions:
- Planlæg nøglerotationer i perioder med lav aktivitet.
- Brug automatiseringsværktøjer til at strømline processen.
- Tilknyttede ISO 27001-klausuler: 8.1 Operationel planlægning og kontrol, 8.3 Informationssikkerhedsrisikobehandling
Fælles udfordringer:
Nøgletilbagekaldelse
Sørg for, at mekanismer er på plads til at tilbagekalde nøgler, når de ikke længere er nødvendige, eller hvis de er kompromitteret.
- Spredning af tilbagekaldelse: Sikring af tilbagekaldelse af nøgler udbredes hurtigt og effektivt på tværs af alle systemer.
- Sikkerhedskopiering af nøglehåndtering: Håndtering af sikkerhedskopier af tilbagekaldte nøgler uden at kompromittere sikkerheden.
- Solutions:
- Implementer automatiske tilbagekaldelseslister.
- Sikker backuplagringsprocedurer.
- Tilknyttede ISO 27001-klausuler: 8.1 Operationel planlægning og kontrol, 9.2 Intern revision
Fælles udfordringer:
3. Kryptografiske algoritmer
Udvælgelse
Vælg kryptografiske algoritmer, der passer til det krævede beskyttelsesniveau og er almindeligt anerkendt som sikre (f.eks. AES, RSA).
- Algoritmeopdateringer: Følger med fremskridt inden for kryptografiske algoritmer og deres sikkerhed.
- Overholdelse af standarder: Sikring af, at udvalgte algoritmer overholder industristandarder og regler.
- Solutions:
- Gennemgå og opdater regelmæssigt kryptografiske politikker for at inkorporere de nyeste sikre algoritmer.
- Brug overholdelsesværktøjer til at bekræfte overholdelse af standarder.
- Tilknyttede ISO 27001-klausuler: 8.3 Informationssikkerhedsrisikobehandling, 9.1 Overvågning, måling, analyse og evaluering
Fælles udfordringer:
Algoritmestyrke
Sørg for, at de valgte algoritmer har tilstrækkelig styrke (f.eks. nøglelængde) til at modstå aktuelle og forudsigelige kryptografiske angreb.
- Balancer ydeevne og sikkerhed: Balancer behovet for stærk kryptering med systemets ydeevne.
- Fremtidssikring: Valg af algoritmer og nøglelængder, der forbliver sikre på lang sigt.
- Solutions:
- Udfør præstationsbenchmarking for at finde optimale konfigurationer.
- Revurder regelmæssigt algoritmens styrker mod nye trusler.
- Tilknyttede ISO 27001-klausuler: 8.3 Informationssikkerhedsrisikobehandling, 9.1 Overvågning, måling, analyse og evaluering
Fælles udfordringer:
4. Implementering og anvendelse
Politik og procedurer
Udvikle og implementere politikker og procedurer, der styrer brugen af kryptografi i organisationen.
- Politikudvikling: Oprettelse af omfattende politikker, der dækker alle aspekter af kryptografisk brug.
- Konsistens: Sikring af ensartet anvendelse af politikker på tværs af organisationen.
- Solutions:
- Inddrag tværgående teams i politikudvikling.
- Brug centraliserede politikstyringsværktøjer for at opnå konsistens.
- Tilknyttede ISO 27001-klausuler: 5.2 Informationssikkerhedspolitik, 7.5 Dokumenteret information
Fælles udfordringer:
Kurser
Giv personalet undervisning i korrekt brug af kryptografiske værktøjer og vigtigheden af at beskytte kryptografiske nøgler.
- Engagement: Engagere personale i løbende kryptografisk træning og oplysningsprogrammer.
- Videnopbevaring: Sikre, at personalet bevarer og anvender den viden, der er opnået fra uddannelse.
- Solutions:
- Brug interaktive træningsmetoder og periodiske vurderinger for at styrke læringen.
- Tilknyttede ISO 27001-klausuler: 7.2 Kompetence, 7.3 Bevidsthed, 7.5 Dokumenteret information
Fælles udfordringer:
Overvågning af overholdelse
Overvåg og auditér regelmæssigt brugen af kryptografiske kontroller for at sikre, at de overholder de etablerede politikker og procedurer.
- Ressourceallokering: Tildeling af tilstrækkelige ressourcer til løbende overvågning og revision.
- Rettidig afhjælpning: Løsning af problemer med manglende overholdelse hurtigt og effektivt.
- Solutions:
- Udnyt automatiserede overvågningsværktøjer.
- Etabler et dedikeret compliance-team til hurtig problemløsning.
- Tilknyttede ISO 27001-klausuler: 9.1 Overvågning, måling, analyse og evaluering, 9.2 Intern revision, 9.3 Ledelsesgennemgang
Fælles udfordringer:
5. Kryptografiske tjenester
Digitale signaturer
Brug digitale signaturer til at verificere oplysningernes ægthed og integritet.
- Brugeradoption: Tilskyndelse til udbredt anvendelse af digitale signaturer i organisationen.
- Integration: Integrering af digitale signaturløsninger med eksisterende arbejdsgange og systemer.
- Solutions:
- Fremme fordelene ved digitale signaturer.
- Sikre problemfri integration med forretningsapplikationer.
- Tilknyttede ISO 27001-klausuler: 8.1 Operationel planlægning og kontrol, 9.1 Overvågning, måling, analyse og evaluering
Fælles udfordringer:
Certifikatstyring
Administrer digitale certifikater, herunder udstedelse, fornyelse og tilbagekaldelse, for at sikre ægtheden af enheder i organisationen.
- Livscyklusstyring: Effektiv styring af hele livscyklussen af digitale certifikater.
- Certifikatspredning: Undgå et uoverskueligt antal certifikater i organisationen.
- Solutions:
- Brug centraliserede certifikatstyringsløsninger.
- Udfør regelmæssige revisioner for at forhindre certifikatspredning.
- Tilknyttede ISO 27001-klausuler: 8.1 Operationel planlægning og kontrol, 9.1 Overvågning, måling, analyse og evaluering
Fælles udfordringer:
6. Dokumentation og optegnelser
Dokumentation
Vedligeholde dokumentation af kryptografiske politikker, procedurer, nøglehåndteringsprocesser og konfigurationer.
- Dokumentationsoverbelastning: Håndtering af store mængder dokumentation og sikring af nøjagtighed.
- Tilgængelighed: Sikring af dokumentation er tilgængelig for autoriseret personale, når det er nødvendigt.
- Solutions:
- Brug dokumentstyringssystemer til at organisere og kontrollere adgangen til kryptografisk dokumentation.
- Tilknyttede ISO 27001-klausuler: 7.5 Dokumenteret information, 8.1 Driftsplanlægning og kontrol
Fælles udfordringer:
Revisionsspor
Opbevar detaljerede logfiler og revisionsspor over brug af kryptografiske nøgler og administrationsaktiviteter.
- Logstyring: Effektiv håndtering og lagring af store mængder revisionslogfiler.
- Loganalyse: Analyse af logfiler for at opdage og reagere på potentielle sikkerhedshændelser.
- Solutions:
- Implementer logstyringsløsninger med automatiserede analysefunktioner.
- Tilknyttede ISO 27001-klausuler: 7.5 Dokumenteret information, 9.1 Overvågning, måling, analyse og evaluering
Fælles udfordringer:
Fordele ved overholdelse
- Forbedret sikkerhed: Beskyt følsomme oplysninger mod uautoriseret adgang og manipulation.
- Regulatory Compliance: Opfyld juridiske, lovgivningsmæssige og kontraktmæssige krav relateret til informationssikkerhed og kryptografi.
- Risk Management: Reducer risici forbundet med databrud og uautoriseret adgang til følsomme oplysninger.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
ISMS.online-funktioner til at demonstrere overholdelse af A.8.24
- Policy Management
- Politikskabeloner: Brug forudbyggede politikskabeloner til hurtigt at etablere omfattende kryptografiske politikker.
- Versionskontrol: Hold styr på politikændringer og sørg for, at de nyeste versioner altid er i brug.
- Dokumentadgang: Kontroller, hvem der kan se og redigere kryptografiske politikker, hvilket sikrer sikker adgang.
- Risk Management
- Dynamisk risikokort: Visualiser risici forbundet med kryptografiske kontroller og spor deres status.
- Risikoovervågning: Overvåg løbende risici relateret til kryptografisk nøglestyring og krypteringspraksis.
- Incident Management
- Incident Tracker: Dokumenter og administrer hændelser, der involverer kryptografiske fejl eller brud.
- Workflow og meddelelser: Automatiser hændelsesreaktions-arbejdsgange og sikre rettidige meddelelser til relevante interessenter.
- Revisionsledelse
- Revisionsskabeloner: Brug specifikke skabeloner til revision af kryptografiske kontroller og nøgleadministrationsprocesser.
- Korrigerende handlinger: Spor og administrer korrigerende handlinger som følge af revisioner for at sikre løbende forbedringer.
- Træning og bevidsthed
- Uddannelsesmoduler: Giv medarbejderne træning i kryptografisk praksis og nøglehåndtering.
- Træningssporing: Overvåg og dokumenter færdiggørelse af træning for at sikre, at alle medarbejdere er opdateret på kryptografiske procedurer.
- Dokumentationsstyring
- Dokumentskabeloner: Brug dokumentskabeloner til at vedligeholde omfattende registreringer af praksis for kryptografisk nøglehåndtering.
- Versionskontrol og -opbevaring: Sørg for, at al kryptografisk dokumentation er versionsstyret og opbevaret i henhold til politikken.
Detaljeret bilag A.8.24 Overholdelsestjekliste
1. Kryptering
- Sørg for kryptering af hvilende data på alle enheder, servere og lagermedier.
- Bekræft integration af krypteringsværktøjer med eksisterende systemer.
- Overvåg præstationspåvirkningen af krypteringsprocesser og optimer efter behov.
- Implementer krypteringsprotokoller (f.eks. TLS, VPN'er) til data i transit.
- Sikre kompatibilitet af krypteringsprotokoller på tværs af forskellige systemer og netværk.
- Sikre nøgleudvekslingsprocessen for at forhindre aflytning.
2. Nøglestyring
- Generer kryptografiske nøgler sikkert med tilfældighed af høj kvalitet.
- Tildel tilstrækkelige beregningsressourcer til nøglegenerering.
- Gem nøgler sikkert ved hjælp af hardwaresikkerhedsmoduler (HSM'er) eller krypteret nøglelagring.
- Implementer streng adgangskontrol til nøgleopbevaring.
- Udvikle og håndhæve politikker for nøglebrug.
- Uddan personalet i korrekt nøglehåndtering gennem regelmæssig træning.
- Implementer nøglerotationspolitikker for regelmæssigt at ændre nøgler.
- Minimer driftsforstyrrelser under nøglerotationer.
- Automatiser nøglerotationsprocesser, hvor det er muligt.
- Sørg for, at mekanismer er på plads til at tilbagekalde nøgler, når det er nødvendigt.
- Udbred nøgletilbagekaldelse hurtigt og effektivt på tværs af alle systemer.
- Administrer sikkerhedskopier af tilbagekaldte nøgler sikkert.
3. Kryptografiske algoritmer
- Vælg kryptografiske algoritmer, der er almindeligt anerkendt som sikre (f.eks. AES, RSA).
- Hold dig opdateret med fremskridt inden for kryptografiske algoritmer.
- Sørg for, at udvalgte algoritmer overholder industristandarder og regler.
- Sørg for, at algoritmer har tilstrækkelig styrke til at modstå nuværende og forudsigelige angreb.
- Balancer behovet for stærk kryptering med systemets ydeevne.
- Fremtidssikrede algoritmer og nøglelængder for at forblive sikre på lang sigt.
4. Implementering og anvendelse
- Udvikle omfattende politikker og procedurer for kryptografisk brug.
- Sikre ensartet anvendelse af politikker på tværs af organisationen.
- Tilbyder løbende kryptografisk træning og oplysningsprogrammer til personalet.
- Engager personalet i uddannelse og sørg for fastholdelse af viden.
- Overvåg og auditér jævnligt kryptografiske kontroller.
- Tildel tilstrækkelige ressourcer til løbende overvågning og revision.
- Løs problemer med manglende overholdelse hurtigt og effektivt.
5. Kryptografiske tjenester
- Implementer digitale signaturer for at verificere oplysningernes ægthed og integritet.
- Tilskynd til brug af digitale signaturer i organisationen.
- Integrer digitale signaturløsninger med eksisterende arbejdsgange og systemer.
- Administrer hele livscyklussen af digitale certifikater effektivt.
- Undgå et uoverskueligt antal certifikater i organisationen.
6. Dokumentation og optegnelser
- Vedligeholde dokumentation af kryptografiske politikker, procedurer, nøglehåndteringsprocesser og konfigurationer.
- Sørg for, at dokumentation er tilgængelig for autoriseret personale, når det er nødvendigt.
- Opbevar detaljerede logfiler og revisionsspor over brug af kryptografiske nøgler og administrationsaktiviteter.
- Administrer og gem effektivt store mængder revisionslogfiler.
- Analyser logfiler for at opdage og reagere på potentielle sikkerhedshændelser.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvert bilag A Kontroltjeklistetabel
ISO 27001 Bilag A.5 Kontroltjeklistetabel
ISO 27001 Bilag A.6 Kontroltjeklistetabel
| ISO 27001 kontrolnummer | ISO 27001 kontroltjekliste |
|---|---|
| Bilag A.6.1 | Screeningstjekliste |
| Bilag A.6.2 | Tjekliste for ansættelsesvilkår og -vilkår |
| Bilag A.6.3 | Tjekliste for bevidsthed om informationssikkerhed, uddannelse og træning |
| Bilag A.6.4 | Tjekliste for disciplinær proces |
| Bilag A.6.5 | Ansvarsliste efter opsigelse eller ændring af ansættelse |
| Bilag A.6.6 | Tjekliste for fortrolighed eller tavshedspligt |
| Bilag A.6.7 | Tjekliste for fjernarbejde |
| Bilag A.6.8 | Tjekliste til rapportering af hændelser vedrørende informationssikkerhed |
ISO 27001 Bilag A.7 Kontroltjeklistetabel
| ISO 27001 kontrolnummer | ISO 27001 kontroltjekliste |
|---|---|
| Bilag A.7.1 | Tjekliste for fysisk sikkerhed perimeter |
| Bilag A.7.2 | Tjekliste for fysisk adgang |
| Bilag A.7.3 | Tjekliste til sikring af kontorer, værelser og faciliteter |
| Bilag A.7.4 | Tjekliste til overvågning af fysisk sikkerhed |
| Bilag A.7.5 | Tjekliste for beskyttelse mod fysiske og miljømæssige trusler |
| Bilag A.7.6 | Tjekliste for arbejde i sikre områder |
| Bilag A.7.7 | Clear Desk og Clear Screen Checkliste |
| Bilag A.7.8 | Tjekliste for placering og beskyttelse af udstyr |
| Bilag A.7.9 | Sikkerhed af aktiver Off-Premises Tjekliste |
| Bilag A.7.10 | Tjekliste til lagermedier |
| Bilag A.7.11 | Tjekliste for understøttende hjælpeprogrammer |
| Bilag A.7.12 | Kabelsikkerhedstjekliste |
| Bilag A.7.13 | Tjekliste til vedligeholdelse af udstyr |
| Bilag A.7.14 | Tjekliste for sikker bortskaffelse eller genbrug af udstyr |
ISO 27001 Bilag A.8 Kontroltjeklistetabel
Hvordan ISMS.online hjælper med A.8.24
Klar til at forbedre din organisations informationssikkerhedsstyring med avancerede kryptografiske kontroller?
Opdag, hvordan ISMS.online kan strømline din overholdelsesindsats, forenkle risikostyring og sikre robust databeskyttelse. Vores platform tilbyder kraftfulde funktioner designet til at hjælpe dig med at opnå og vedligeholde ISO/IEC 27001:2022-certificering effektivt.
Giv din organisation værktøjerne og ekspertisen til at beskytte dine informationsaktiver og opnå fremragende informationssikkerhedsstyring. Book din demo i dag!
